Lazarus grupa, povezana sa Sjevernom Korejom, primijećena je kako dva puta u periodu od godinu dana koristi nedostatke u neotkrivenom softveru kako bi provalila finansijski poslovni subjekt u Južnoj Koreji.
Dok je prvi napad u maju 2022. godine podrazumijevao korištenje ranjive verzije softvera za sertifikate koji se naširoko koristi od strane javnih institucija i univerziteta, ponovna infiltracija u oktobru 2022. godine uključivala je Zero-Day iskorištavanje u istom programu.
Firma za kibernetičku bezbjednost AhnLab Security Emergency Response Center (ASEC) saopštila je da se suzdržava od otkrivanja više pojedinosti zbog činjenice da “ranjivost još nije u potpunosti potvrđena i softverska zakrpa nije objavljena”.
Konkurentni kolektiv je, nakon što je dobio početno uporište nepoznatom metodom, zloupotrebio Zero-Day grešku da izvrši lateralno kretanje, ubrzo nakon čega je AhnLab V3 anti-malware engine bio onemogućen putem BYOVD napada.
Ovdje je vrijedno napomenuti da je Lazarus grupa posljednjih mjeseci više puta koristila BYOVD tehniku, što su dokumentovali i ESET i AhnLab u nizu izvještaja krajem prošle godine.
Među ostalim koracima koji se poduzimaju za prikrivanje malicioznog ponašanja uključuju promjenu imena datoteka prije njihovog brisanja i modifikovanje vremenskih oznaka korištenjem anti-forenzičke tehnike koja se naziva timemping.
Napad je na kraju otvorio put za više backdoor korisnih podataka (Keys.dat i Settings.vwx) koji su dizajnirani da se povežu sa udaljenim serverom za komandu i kontrolu (C2) i dohvate dodatne binarne datoteke i izvrše ih na način bez datoteka.
Razvoj dolazi nedelju dana nakon što je ESET bacio svjetlo na novi implant nazvan WinorDLL64 koji je postavio zloglasni haker pomoću učitavača malvera po imenu Wslink.
“Grupa Lazarus istražuje ranjivosti raznih drugih softvera i stalno mijenja svoje TTP-ove mijenjajući način na koji onemogućavaju sigurnosne proizvode i sprovode anti-forenzičke tehnike kako bi ometali ili odlagali otkrivanje i analizu kako bi se infiltrirali u korejske institucije i kompanije” ASEC je rekao.
Izvor: The Hacker News
